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1. 温州 日 报 报 业 集团 改造 网 络 和 出 口 安 全 的 必要 性 

2007 年 ,温州 日 报 报 业 集 团 ( 以 下 简称 “集团 ”) 
引进 了 不 同 运营 商 的 3 条 互联 网 光纤 (电信 1G、 网 通 
1G、 移 动 500M ) ， 并 配备 了 负载 均衡 设备 作为 集团 
互联 网 统一 出 口 ， 集 团 内 部 上 网 和 外 部 对 集团 所 有 网 
站 、 视 频 、 新 媒体 等 访问 都 是 通过 这 3 条 光纤 。 因 为 
只 有 一 个 统一 的 出 口 ， 任 何 一 个 网 络 异 常 都 有 可 能 影 
响 到 集团 全 局 的 网 络 访问 ,这 对 集团 出 口 的 设备 安全 、 
高 效 、 稳 定 提出 很 高 的 要 求 。 当 时 ， 采 用 统一 出 口 的 
报 业 集团 几乎 没有 ， 大 都 是 把 内 部 办 公 对 外 和 外 对 内 
DMZ 区 访问 分 别 部 署 成 两 个 完全 独立 的 互联 网 出 口 ， 
互 不 干扰 。 
1.1 原 有 集团 网 络 和 出 口 安全 设备 性 能 

2 台 5 负载 均 衔 设备 和 2 台 Juniper 防火 墙 ， 这 
些 设 备 只 做 双 机 热 备 ， 没 有 双 活 ， 网 康 上 网 行为 设备 
串 在 它们 中 间 (存在 单 点 故障 ) ; 防火 墙 下 联 2 台 热 
备 Extreme 8810 核心 交换 机 ; 防火 墙 另 一 下 联 为 千 兆 
WAF 防火 墙 ， 再 由 WAF 连接 到 DMZ 汇聚 交换 机 。 由 


版 和 其 他 网 站 的 对 外 业务 ; 原 网 络 和 安全 设备 的 接口 
速率 均 为 1G， 当 访问 总 流量 高 峰 超过 1G 时 有 可 能 造 
成 网 络 拥塞 。 此 外 , 个 别 设备 还 存在 单 点 故障 的 风险 。 
2. 新 网 络 和 互联 网 出 口 建设 思路 

新 网 络 和 出 口 必须 解决 上 述 痛 点 ， 既 要 做 到 安全 
同时 又 要 双 活 ， 还 要 做 到 负载 均 挫 。 

双 活 要 求 每 个 设备 至 少 都 要 双 份 ， 如 果 在 互联 网 
出 口 前 端 像 萌 芦 冲 一 样 加 一 大 串 的 双 份 安全 设备 ， 不 
但 购买 成 本 非常 高 ， 且 对 双 活 造成 很 大 的 困扰 ， 这 就 
要 求 选择 设备 时 尽 可 能 要 减少 设备 数量 ， 在 一 个 设备 
上 集成 尽 可 能 多 的 应 用 。 因 此 ， 笔 者 所 在 团队 的 建设 
思路 是 : 在 达到 功能 要 求 的 前 提 下 ， 尽 可 能 用 较 少 的 
设备 做 到 在 线 双 活 ; 其 次 是 统计 分 析 功 能 要 足够 强大 
和 细致 ， 有 利于 日 后 网 络 优化 和 排 错 。 

核心 网 络 和 安全 设备 接口 从 原来 的 1G 全 部 提升 
到 万 兆 ， 同 时 把 所 有 垂直 干线 提升 到 万 兆 ， 水 平 布线 
全 部 达到 1G。 对 所 有 网 络 设备 要 能 做 到 跨 设备 链 路 聚 
合 ， 提 高 链 路 的 稳定 性 ， 又 能 做 到 链 路 的 负载 均 摊 ， 


于 当前 网 络 威胁 和 攻击 日 益 增多 ， 温 报 集团 10 多 年 前 
购买 的 网 络 和 安全 设备 已 不 能 满足 高 强度 的 防护 要 求 ， 
须 对 集团 网 络 和 出 口 安全 进行 改造 。 
1.2 原 架 构 痛 点 : 做 不 到 双 活 、 带 宽 不 够 

原 出 口 网 络 和 出 口 安全 设备 采用 主 备 架构 ， 这 种 
方式 所 有 的 业务 和 流量 只 能 由 一 台 主 用 设备 硬 打 ， 备 
用 设备 无 法 在 线 分 担 ， 集 团 某 一 网 站 一 旦 受 大 流量 攻 
击 ， 会 连累 到 整个 内 到 外 的 上 网 速度 及 集团 其 他 没 被 
攻击 网 站 的 访问 网 速 ， 甚 至 中 断 ， 极 大 影响 正常 的 出 


同时 具有 灵活 的 端口 镜像 功能 。 

对 防火 墙 的 要 求 除 具 有 防火 墙 基本 功能 外 ， 还 要 
具有 较 强 的 入 侵 防御 系统 、 威 胁 检 测 模块 ， 能 够 快速 
发 现 网 络 威胁 来 源 并 加 以 拦截 。 

负载 均衡 设备 是 部 署 在 最 前 端 ， 除 链 路 和 服务 器 
负载 均衡 功能 外 ， 抗 DDOS 功能 和 访问 加 速 功能 也 要 
有 。 

WAF 设备 能 对 网 站 访问 进行 全 方位 的 智能 防护 ， 
能 自动 识别 和 阻 断 各 种 扫描 行为 -同时 还 要 有 智能 学 习 、 
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智能 锁定 攻击 者 、 防 止 算 改 监控 等 功能 。 所 有 网 络 与 安 
全 设备 要 能 纳入 开 运 维 管理 系统 ， 方 便 日 后 运 维 。 
3. 新 设备 功能 特点 

此 次 集团 引进 的 新 设备 是 网 神 NSG7000- 
TX10M-Q 新 一 代 防 火 墙 和 A10 TH3030S 负载 均衡 各 2 
台 、 安 恒 WAF-3000AG1 台 、H3C 网 络 设备 进行 全 网 
更 换 。 新 设备 上 线 保持 集团 网 络 总 体 大 的 架构 基本 不 
变 ， 稍 做 如 下 微调 : 由 于 新 的 设备 全 是 万 兆 接口 ， 网 
康 千 兆 设备 不 再 适用 串 接 ， 移 到 核心 交换 机 做 旁 路 挂 
接 ; 同时 ， 也 避免 了 单 点 故障 。 改 造 后 的 集团 网 络 折 
扑 图 (如 图 1) 。 


图 1 改造 后 的 集团 网 络 拓扑 图 


3.1 支持 DRNI 技术 的 H3C 交换 机 

DRNI (Distributed Resilient Network Interconnect, 
分 布 式 弹性 网 络 互 连 ) 作为 一 种 跨 设 备 链 路 聚合 的 技 
术 ， 从 而 把 链 路 和 设备 的 可 靠 性 从 单 板 级 提高 到 设备 
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结构 ， 男 一 方面 尽 可 能 屏蔽 外 部 威胁 ， 以 拦截 外 对 内 
的 非法 访问 。 在 安全 漏洞 频 出 、 网 络 攻击 肆 行 的 今天 ， 
引进 一 套 高 带宽 、 高 性 能 、 集 多 种 功能 模块 于 一 体 的 
新 一 代 防 火 墙 尤为 重要 。 

网 神 NSG7000-TX10M-Q 新 一 代 防 火 墙 具有 
42Gbps 吞吐 量 ， 除 了 常规 NAT、 协 议 识别 等 功能 ， 还 
具有 入侵 防御 检测 IPS 模块 、 病 毒 检 测 防毒 网 关 、 态 
势 感知 、 僵 尸 主机 检测 、 威 胁 云 检测 等 应 用 模块 ， 大 
幅 提 升 了 边界 安全 防护 能 

新 网 神 防火 墙 的 监控 指标 比较 多 : 会 话 数 流量 数 、 
各 种 威胁 数量 、 各 协议 应 用 占 比 等 ， 日 志 分 析 功 能 比 
较 强 大 ， 结 果 呈 现 清晰 明了 。 针 对 某 一 时 段 的 网 络 异 
常事 件 ， 通 过 各 异常 指标 的 追查 ， 最 终 都 能 找 出 相对 
应 的 主机 和 IP， 进 而 进行 规避 。 

3.3 集 抗 DDOS、 应 用 加 速 为 一 体 的 A10 一 
TH3030S 负载 均衡 

TH3030S 四 ~ 七 层 的 春 吐 量 都 三 30Gbps、 最 大 并 
发 连接 三 2000 万 、 万 兆 接 口 = 6 个 ， 并 具有 抗 DDOS 
和 应 用 加 速 功 能 。 该 负载 均衡 能 支持 流量 图 形 化 展示 ， 
该 功能 对 网 络 排 错 非 常 管用 。 

3.4 高 性 能 网 站 应 用 级 入 侵 防御 WAF 系统 

新 上 线 的 安 恒 WAF-3000AG 应 用 层 吞 吐 
三 8Gbps .并 发 连接 数 = 40 万 、 每 秒 新 建 连接 数 三 4 万 、 
业务 时 延 小 于 50ms 、 防 护 站 点 无 限制 。 

新 WAF 具有 CC 防护 功能 ; 能 够 识别 跨 站 脚本 
(XSS ) 、 注 入 式 攻 击 等 恶意 请 求 应 用 攻击 行为 ; 文 
持 对 HTTP 请 求 分 割 攻击 和 HTTP 响应 报 文 截断 攻击 
的 防护 ; 能 基于 访问 行为 特征 进行 分 析 ， 有 具有 识别 盗 
链 、 疏 虫 攻击 的 能 力 ; 能 识别 网 站 中 的 网 页 木马 程序 ， 
通过 策略 可 防止 木马 网 页 被 用 户 访问 。 


级 。 本 次 温州 日 报 报 业 集 团 采用 H3C 的 S10510X 核 
心 、LS-7503E 等 汇聚 、S5130 等 楼 层 交 换 机 均 支 持 
DRNI 技术 进行 链 路 聚合 ， 大 大 简化 了 组 网 和 配置 ， 
既 提 高 了 带宽 ， 又 提高 了 链 路 的 稳定 性 ， 同 时 还 能 做 
到 链 路 的 负载 均 摊 。 核 心 采用 先进 的 CLOS 多 级 多 平 
面 交 换 架 构 ， 可 以 提高 带宽 的 持续 升级 能 力 ， 能 够 适 
应 不 同 网 络 规模 的 端口 密度 和 性 能 要 求 。 
新 核心 交换 机 交换 容量 三 700Tbps， 包 转发 
率 三 96000Mpps， 光 纤 接 口 全 万 兆 ( 最 高 支持 
100GE ) , 比 原来 的 Extreme 核心 各 项 性 能 提升 了 10 信 ; 
支持 双向 ACL、 支 持 端口 ACL， 支 持 VLAN ACL, 符 
合集 团 原 用 ACL 技术 对 各 子 报 的 访问 权限 进行 隔离 和 
控制 的 技术 要 求 。 
3.2 多 功能 一 体 防 火 墙 

防火 墙 作 为 一 种 边界 安全 设备 ， 所 起 的 作用 是 对 
内 、 外 部 网 络 实施 隔离 ， 一 方面 尽 可 能 屏蔽 内 部 网 络 


4. 项 目的 创新 点 : 首创 擒 篮 子 式 双 活 架构 

本 项 目 对 集团 出 口 安全 设备 进行 创新 设计 ， 双 活 
架构 ， 避 开 原 系统 的 痛 点 。 首 创 把 出 口 业务 按 种 类 分 
块 ( 即 篮子 ) 技术 成 功 应 用 于 出 口 的 网 络 攻击 应 急 ， 
避免 了 受 攻击 网 站 对 其 他 正常 业务 的 影响 。 按 业务 的 
性 质 把 内 外 网 访问 通道 分 成 4 个 篮子 : 篮子 A 装 的 内 
对 外 的 上 网 业务 ， 篮 子 B 装 的 是 各 报 网 刊 的 对 外 网 站 
业务 ， 篮 子 C 装 的 是 温州 网 二 套 ( 各 服务 对 象 的 网 站 
业务 ) ， 篮 子 D 装 的 是 平时 比较 容易 受 攻击 的 温州 网 
主 站 。 这 4 个 可 以 按 任意 组 合 运 行 在 2 台 A10 负载 均 
衡 设 备 上 ， 平 时 一 般 是 每 台 A10 上 各 跑 2 个 篮子 (如 
图 2) 。 假 设 当 D 篮子 网 站 受到 攻击 时 ， 可 以 将 D 篮 
子 独 自在 一 台 A10 上 运行 ， 另 3 个 没 受 到 攻击 的 篮子 
全 部 跑 在 另 一 台 A10 上 ， 不 会 受 攻击 的 影响 ， 最 大 限 
度 保证 其 业务 正常 (如 图 3) 。 甚 至 还 可 以 把 2 台 防 
火 墙 进行 分 离 ， 把 统一 出 口 分 割 成 互 不 相干 的 2 条 出 
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口 链 路 ， 让 受 攻 的 篮子 D 完全 从 独立 链 路 出 去 ， 彻 底 
解决 互相 干扰 问题 ( 如 图 4) 。2021 年 集团 一 网 站 受 
到 DDOS 大 流量 攻击 , 团队 也 是 通过 此 方法 进行 处 置 ， 
基本 上 没有 对 其 他 正常 业务 造成 影响 。 


| 联通 出 口 


内 网 《篮子 A) | DMZ 区 (篮子 B、C、D) 


图 2 正常 情况 下 集团 出 口 流量 示意 图 


电信 出 口 移动 出 口 联通 出 口 


| es 


a 


内 网 (馆子 A》 


| DMz 区 “ 秘 子 B、C、D) 


图 3 受 攻击 情况 下 集团 出 口 应 急流 量 示意 图 


主 负 载 均衡 


电信 出 口 移动 出 口 


oo es 双 活 架构 
AsB. 


防火 墙 分 离 


对 外 网 站 区 《篮子 B、C、》 
内 部 办 公 电 脑 《 篮 子 A) 


图 4 统一 出 口 彻底 分 离 业 务 示意 图 

5. 应 用 实例 
5.1 快速 查 明 “未 知 ”流量 攻击 

在 新 设备 上 线 之 前 的 一 段 时 间 ， 集 团 网 络 出 口 网 
络 偶尔 会 出 现 不 定时 的 一 两 分 钟 中 断 。 由 于 10 多 年 前 
购买 的 原 负载 均衡 设备 和 防火 墙 监 测 、 分 析 功 能 不 是 
很 强 ; 再 加 上 出 问题 的 时 间 不 固定 ， 很 难 抓 包 分 析 ， 
所 以 一 直 查 不 出 原因 ， 甚 是 困惑 。 新 设备 上 线 后 利用 
A10 的 网 络 指标 图 形 化 展示 功能 很 快 解 开 了 这 个 困惑 ， 
当 出 现 大 流量 攻击 时 ,团队 查阅 了 当时 的 网 络 波 形 图 ， 
发 现 电 信和 出 口 16 带宽 被 大 流量 打 满 (如 图 5) ，A10 
上 接 联通 、 移 动 网 口 及 下 联防 火 墙 e9 网 口 并 没有 出 现 
大 流量 ， 于 是 很 快 就 能 断定 断 网 流量 来 自 电 信和 线路 的 
外 部 攻击 。 但 是 针对 集团 内 部 的 哪 一 台 服 务 器 进行 攻 
击 呢 ? 团队 又 在 A10 的 虚拟 服务 器 ( 每 个 虚拟 服务 器 
对 应 着 一 台 实 体 服务 器 ) 中 找 该 同一 时 段 内 与 图 5 相 


对 外 网 站 区 《篮子 D) 


ChinaXiv 合 作 期 刊 
传媒 技术 


反 的 流量 图 形 ( 如 图 6) ,图 6 的 99.27 服务 器 流量 和 
并 发 先是 突然 暴 增 ， 紧 接着 就 是 下 降 到 零 ， 很 符合 被 
攻击 然后 断 网 这 一 特征 。 于 是 很 快 就 查 明 是 基于 UDP 
123 端口 的 网 络 时 间 协 议 (NTP ) NTP-flood 攻击 ， 通 
过 相应 的 防护 手段 ， 问 题 得 以 解决 。" 


©|etcuc 0.0.0.010 1000 笃 17G 2.0G | 649.0G |16811G| 0 0 0 0 
四 | ezcmcc 0.0.0.0/0 1000 竺 3.4G | 58G | 335.8G |4942.7G| 0 0 0 0 
Oe3dc 0.0.0.0/0 1000 人 和 95G | 10.4G | 4899.4G |8485.9G| 0 1 0 0 
Packets(ethernet3) Bits(ethernet3) 
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图 6 NTP-flood 攻击 时 被 攻 服 务 器 网 络 流量 图 


5.2 快速 识别 内 网 高 风险 主机 

集团 内 网 有 1500 多 台电 脑 , 个 别 电 脑 防 护 不 到 位 ， 
被 植木 马 或 被 操控 都 是 有 可 能 的 ， 以 前 团队 想 要 得 
哪些 是 内 网 高 风险 电脑 ， 只 能 通过 网 康 上 网 行为 设备 
中 的 流量 TOP10 等 判定 主机 是 否 异 常 ， 但 这 种 判定 误 
判 率 太 高 。 现 在 的 网 神 防火 墙 中 具有 态势 感知 、 僵 己 
主机 检测 、 威 胁 云 检测 等 功能 ， 能 从 流量 、 并 发 数 、 
协议 、 端 口 等 多 维度 直接 判定 哪些 可 能 是 高 风险 的 失 
陷 主机 ， 并 直接 列 出 来 (如 网 7) 。 


失陷 主机 视图 | OC 列表 视图 


待 响 应 失陷 主机 数 : 54 阻 断 失陷 主机 数 : 0 仅 记 录 日 志 失 陪 主机 数 : 0 忽略 失陷 主机 数 : 135 
污 史 应。 全 撤销 。 孔 忽 咯 辣 删 除 他 刷新 。 十 全 部 展开 。 王 全 部 折合 有 7 天 
] 失陷 主机 /IOC 描述 命中 数 动作 “| 最 近 发 现时 间 首次 发 现时 间 来 源 用户 名 
] 4 172292120 0 ED 201805-1921:03:48 2018.05-1921:0228 
bigdata adfoture cn 普通 远近 木马 活动 事件 本 地 
] 4 17230150 0 ED 20805-1901:18:34 2018-04-17 1628:10 
serve. popads net Minerd 挖 矿 木 马 活动 事件 本 地 
] 4 17227475 0 2018-05-18 20:36:42 2018-05-18 20:35:56 
coinhive.com MinerdPool 矿 池 异 常 访问 事件 本 地 
] 4 172272.152 0 2018-05-18 19:35:55 2018-02-26 22:44:34 
biedata adsunflower.c..。 普通 远 控 木 马 活动 事件 本 地 
bigdata advmob.cn 普通 远 控 木 马 活动 事件 本 地 
bigdata adfuture.cn 普通 远 控 木 马 活动 事件 本 地 


图 7 集团 内 网 失陷 主机 列表 
团队 按 图 7 的 全 对 这 些 电 脑 进 行 清查 ， 大 部 电脑 
是 真 的 存在 一 些 问 题 的 ， 但 发 现 172.27.4.75 并 非 真 的 
失陷 ， 因 为 该 机 是 一 台 域 控 +DHCP 服务 器 ,访问 的 
并 发 数 、 流 量 等 超过 一 定 的 额度 ， 从 而 也 被 昭和 人 失陷 
的 名 单 ， 把 该 机 添加 到 白 名 单 中 即 可 。 
5.3 利用 防火 墙 查 明 一 起 因 DDOS 防护 引起 的 流 媒体 
调用 失败 案例 
2022 年 1~3 月 间 ， 出 现 过 3 次 DMZ 区 一 App 服 
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务 右 调用 内 网 视频 服务 器 的 视频 流出 现时 断 时 续 或 中 
断 的 现象 ， 由 于 该 App 服务 器 需 经 过 DMZ 汇聚 交换 
机 一 WAF 防火 墙 一 出 口 防火 墙 一 核心 交换 机 一 内 网 
防火 墙 一 才能 访问 到 内 网 服务 器 ， 由 于 其 是 80 端口 调 
用 ， 在 每 次 出 现 故障 时 ， 把 WAF 直通 或 重启 都 能 奏 
效 (实际 上 相当 于 是 把 链 路 重 置 了 一 遍 ) ， 大 家 都 以 
为 是 WAF 拦截 的 原因 ， 但 奇怪 的 是 在 WAF 上 找 不 到 
任何 相关 的 日 志 。 后 在 出 口 网 神 防 火 墙 分 析 中 心 查 到 
其 调用 失败 期 间 有 大 量 HTTP 流 媒体 威胁 告警 ( 如 图 
8 ) ， 随 后 在 下 次 出 现 同样 故障 时 及 时 在 防火 墙 上 抓 
包 ， 发 现 有 大 量 的 请 求 包 到 防火 墙 ， 但 到 达 内 网 视频 
服务 器 的 却 很 少 ， 初 步 判 定 是 包 被 防火 墙 拦截 并 丢弃 
了 。 在 防火 墙 的 数据 中 心 发 现 App 服务 器 请 求 命 中 的 
是 rtb-front-web-2 策略 ， 继 而 查 明 该 App 服务 器 到 内 
网 视频 服务 器 的 访问 请 求 中 使 用 了 HTTP 协议 、GET 
请 求 ，URL 中 带 有 (fr 、mp4 ) 这 2 种 视频 类 型 的 流 
量 ， 当 流量 数据 过 大 时 触发 rb-front-web-2 策略 中 的 
抗 DDOS 功能 ， 导 致 该 App 服务 器 发 出 的 请 求 数据 包 
被 丢弃 ， 从 而 出 现 业 务 间 和 欣 性 中 断 。 后 调 高 rtb-front- 
web-2 策略 中 的 DDOS 阅 值 ， 问 题 暂时 得 以 解决 。 
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图 8 通过 防火 墙 的 分 析 中 心 发 现 大 量 http 流 媒 体 威胁 告警 


5.4 解决 了 VLAN 翻转 时 可 能 出 现 的 断 网 ， 网 络 交换 
更 高 效 、 稳 定 

集团 原 EXtreme 交换 机 采用 ESRP 协议 ( 类似 
VRRP ) 体系 ， 核 心 采用 主 备 模式 。 由 于 各 报 网 刊 按 业 
务 功 能 会 分 成 多 个 VLAN， 其 中 有 一 个 是 主 VLAN， 
各 从 VLAN 都 会 随 着 主 VLAN 在 主 备 核心 交换 机 上 漂 
移 而 漂移 。 假 如 A 楼 层 到 主 交换 机 的 链 路 出 现 故 障 时 ， 
会 将 本 报 主 VLAN 的 master 迁移 到 备 核心 交换 机 上 ， 
同时 把 本 报 的 所 有 从 VLAN 也 漂移 到 备 核心 交换 机 上 ， 
此 时 如 果 B 楼 层 到 备 核心 交换 机 上 有 链 路 不 通 , 且 B 
楼 层 的 交换 机 上 也 有 该 报 的 VLAN， 就 会 造成 B 楼 层 
的 交换 机 无 法 连 上 备 核 心 交换 机 而 断 网 。 团 队 这 次 采 
用 了 DRNI 跨 设 备 链 路 聚合 组 后 ， 对 楼 层 上 行 到 核心 
的 双 链 路 进行 捆绑 后 接 入 到 S10510X 核心 交换 机 ， 很 
好 地 解决 了 此 类 断 网 的 问题 ， 同 时 又 提高 了 带宽 。 任 
何 一 楼 层 交 换 机 断 开 上 行 双 线 中 的 任何 一 条 都 不 影响 
本 楼 层 和 其 他 楼 层 的 网 络 正常 使 用 。 
5.5 ”轻松 搞定 端口 镜像 ， 解 决 其 他 安全 设备 数据 来 源 


问题 
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原核 心 交 换 机 只 能 支持 多 对 一 端口 镜像 ， 没 办 法 
实现 多 个 镜像 口 ， 对 上 网 行为 和 态势 感知 等 旁 路 接 入 
很 不 方便 。 本 次 引进 的 H3C 交换 机 支持 多 对 一 、 一 对 
多 、 多 对 多 端口 流量 镜像 ， 为 集团 的 态势 感知 设备 、 
上 网 行为 管理 设备 、 数 据 抓 包 等 接 入 提供 丰富 的 端口 
镜像 支持 。 
结语 

本 次 建设 原本 想 把 防火 墙 也 做 成 双 活 ， 更 有 利于 
负载 的 分 担 ， 但 防火 墙 的 下 连 线路 过 多 ， 监 测 的 链 路 
死活 和 链 路 切换 过 程 过 于 复杂 , 怕 整 个 出 口 网 络 混乱 ， 
导致 莫名 的 故障 ， 只 好 放弃 防火 墙 双 活 。 

温州 日 报 报 业 集 团 是 较 早 就 把 内 对 外 访问 和 外 对 
内 访问 合 二 为 一 报 业 集团 ， 这 种 构架 的 网 络 出 口 ， 一 
旦 集团 的 某 一 网 站 被 攻 或 流量 异常 ， 会 影响 到 整个 集 
团 内 所 有 用 户 的 对 外 访问 ， 甚 至 中 断 。 之 前 也 曾 网 站 
受到 DDOS 等 攻击 造成 集团 整个 出 口 断断续续 的 情况 。 
此 次 集团 网 络 和 出 口 相关 安全 设备 采用 双 活 架构 并 实 
现 负 载 均衡 ， 解决 了 多 年 来 一 直 困 扰 集 团 的 网 络 交 换 
和 出 口 安全 的 痛 点 。 同 时 ， 新 购 的 设备 在 性 能 上 、 功 
能 上 、 安 全 性 上 都 有 很 大 的 提升 ， 防 火 墙 和 WAF 每 
年 拦截 威胁 各 超 4 亿 次 ， 能 很 好 地 适用 当前 网 络 威胁 
多 、 新 闻 网 站 易 受 攻 的 复杂 网 络 环境 。 自 启用 以 来 很 
好 地 保障 了 集团 网 站 和 网 络 的 安全 ， 很 好 地 保驾 了 中 
国共 产 党 成 立 100 周年 、 党 的 二 十 大 等 期 间 温 州 日 报 
报 业 集团 网 络 的 安全 。 印 
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